Keenadu Backdoor
Nustatyta, kad sudėtinga „Android“ galinė durų programa, žinoma kaip „Keenadu“, yra giliai įdiegta įrenginio programinėje įrangoje, leidžianti tyliai rinkti duomenis ir nuotoliniu būdu valdyti užkrėstas sistemas. Saugumo tyrėjai aptiko grėsmę programinės įrangos schemoje, susijusioje su keliais tiekėjais, įskaitant „Alldocube“, o įrodymai rodo, kad įsilaužimas įvyko programinės įrangos kūrimo etape. „Keenadu“ yra „Alldocube iPlay 50 mini Pro“ programinėje įrangoje mažiausiai nuo 2023 m. rugpjūčio 18 d.
Kiekvienu patvirtintu atveju kenkėjiškas kodas buvo planšetinio kompiuterio programinės įrangos atvaizduose su galiojančiais skaitmeniniais parašais, o tai padidino tiekimo grandinės pažeidimo tikimybę. Kai kurie užkrėsti programinės įrangos paketai buvo platinami per belaidį (OTA) atnaujinimą. Įdiegus, galinės durys įsiskverbia į kiekvienos programos atmintį paleidimo metu ir veikia kaip daugiapakopis įkėlėjas, suteikiantis užpuolikams neribotą nuotolinę įrenginio valdymą.
Telemetrijos duomenys rodo, kad 13 715 vartotojų visame pasaulyje susidūrė su „Keenadu“ ar su juo susijusiais moduliais. Didžiausia užkrėtimų koncentracija pastebėta Rusijoje, Japonijoje, Vokietijoje, Brazilijoje ir Nyderlanduose.
Turinys
Gilus sistemos manipuliavimas: pagrindinių „Android“ procesų išnaudojimas
„Keenadu“ buvo viešai atskleista 2025 m. gruodžio pabaigoje ir apibūdinta kaip užpakalinės durys, implantuotos į libandroid_runtime.so – svarbią bendrinamą biblioteką, įkeliamą „Android“ paleidimo proceso metu. Suaktyvėjusi kenkėjiška programa įsiskverbia į „Zygote“ procesą – toks elgesys anksčiau buvo pastebėtas „Android“ kenkėjiškoje programoje „Triada“.
Kenkėjiška programa suaktyvinama per funkciją, įterptą į libandroid_runtime.so. Pirmiausia ji patikrina, ar vykdoma sistemos programose, susijusiose su „Google“ paslaugomis ar mobiliojo ryšio operatoriais, tokiais kaip „Sprint“ ir „T-Mobile“; jei taip, vykdymas sustabdomas. Integruotas naikinimo jungiklis taip pat nutraukia kenkėjišką programą, kai sistemos kataloguose aptinkami konkretūs failų pavadinimai.
Tada galinės durys patikrina, ar veikia privilegijuotame system_server procese, kuris valdo pagrindines sistemos funkcijas ir kurį „Zygote“ paleidžia įkrovos metu. Priklausomai nuo aplinkos, kenkėjiška programa inicijuoja vieną iš dviejų komponentų:
- AKServer, kuriame yra pagrindinė komandų ir valdymo (C2) logika ir vykdymo modulis
- AKClient, kuris įterpiamas į kiekvieną paleistą programą ir veikia kaip ryšio tiltas su AKServer
Ši architektūra leidžia užpuolikams pritaikyti kenkėjiškas apkrovas konkrečioms programoms. Serverio komponentas gali suteikti arba atšaukti programų leidimus, gauti geolokacijos duomenis ir išgauti įrenginio informaciją. Papildomos apsaugos priemonės užtikrina, kad kenkėjiška programa nustotų veikti, jei įrenginio kalba nustatyta į kinų kalbą Kinijos laiko juostoje arba jei nėra „Google Play“ parduotuvės ar „Google Play“ paslaugų.
Kai „Keenadu“ atitinka veikimo kriterijus, ji iššifruoja savo C2 adresą ir perduoda užšifruotus įrenginio metaduomenis. Serveris atsako užšifruota JSON konfigūracija, kurioje išsamiai aprašomi galimi naudingieji duomenys. Siekdama išvengti aptikimo ir apsunkinti analizę, galinės durys atideda naudingojo duomenų pristatymą maždaug dviem su puse mėnesio po pradinės įrenginio registracijos. Užpuolikai kaip turinio teikimo infrastruktūrą naudoja „Alibaba Cloud“.
Kenkėjiški moduliai: pajamų gavimas, užgrobimas ir reklamos sukčiavimas
„Keenadu“ veikia kaip modulinė kenkėjiškų programų platforma, galinti diegti įvairius specializuotus komponentus. Identifikuoti moduliai apima:
- „Keenadu Loader“ taikosi į populiarias el. prekybos platformas, tokias kaip „Amazon“, „Shein“ ir „Temu“, ir gali sudaryti sąlygas neteisėtam krepšelio manipuliavimui.
- „Clicker Loader“ buvo įdiegta į tokias programas kaip „YouTube“, „Facebook“, „Google Digital Wellbeing“ ir „Android“ sistemos paleidimo priemonę, kad būtų galima nesąžiningai sąveikauti su reklamos elementais.
- „Google Chrome“ modulis, skirtas „Google Chrome“ užgrobti paieškos užklausas ir nukreipti jas į alternatyvias paieškos sistemas, nors automatinio užbaigimo pasirinkimai kartais gali sutrikdyti užgrobimo bandymą.
- „Nova Clicker“, integruotas į sistemos fono paveikslėlių rinkiklį ir naudojantis mašininį mokymąsi bei „WebRTC“, kad sąveikautų su reklamos turiniu. Šį komponentą anksčiau „Doctor Web“ analizavo kodiniu pavadinimu „Phantom“.
- Įdiekite sistemos paleidimo priemonėje integruotą pajamų gavimo modulį, kad gautumėte apgaulingų reklamos pajamų, neteisingai priskirdami programų diegimus.
- „Google Play“ modulis, kuris nuskaito „Google Ads“ reklamos ID ir saugo jį rakte „S_GA_ID3“, kad būtų galima sekti tarp modulių ir identifikuoti aukas.
Nors šiuo metu daugiausia dėmesio skiriama reklamos sukčiavimui, sistemos lankstumas ateityje suteikia didelį potencialą vagystei ir kenkėjiškų operacijų plėtrai.
Platinimo kanalų ir ekosistemų ryšių plėtra
Be programinės įrangos lygio implantavimo, pastebėti ir kiti platinimo vektoriai. „Keenadu“ įkroviklis buvo integruotas į pagrindines sistemos programas, tokias kaip veido atpažinimo paslaugos ir paleidimo priemonės. Panaši taktika anksčiau buvo siejama su „Dwphon“, kuri buvo nukreipta prieš OTA atnaujinimo mechanizmus.
Kitas pastebėtas metodas apima veikimą sistemose, kurias jau užpuolė atskiras iš anksto įdiegtas galinis duris, panašus į BADBOX. Taip pat nustatyti „Triada“ ir BADBOX infrastruktūros dubliavimai, rodantys botnetų bendradarbiavimą. 2025 m. kovo mėn. atsirado tolesni ryšiai tarp BADBOX ir „Vo1d“, kurie buvo nukreipti į kitų prekės ženklų „Android TV“ įrenginius.
„Keenadu“ taip pat buvo platinamas per „Hangzhou Denghong Technology Co., Ltd.“ paskelbtas išmaniųjų kamerų programas „Google Play“ parduotuvėje. Paveiktos programos:
- „Eoolii“ (com.taismart.global) – daugiau nei 100 000 atsisiuntimų
- „Ziicam“ (com.ziicam.aws) – daugiau nei 100 000 atsisiuntimų
- „Eyeplus“ – jūsų namai jūsų akyse (com.closeli.eyeplus) – daugiau nei 100 000 atsisiuntimų
Šios programėlės vėliau buvo pašalintos iš „Google Play“. Lygiavertės versijos taip pat buvo paskelbtos „Apple App Store“; tačiau „iOS“ variantuose nebuvo kenkėjiško kodo, o tai sustiprina išvadą, kad „Keenadu“ yra specialiai sukurta „Android“ planšetiniams kompiuteriams.
Saugumo pasekmės: grėsmė „Android“ pagrindiniam pasitikėjimo modeliui
„Keenadu“ kelia rimtą grėsmę dėl integracijos su „libandroid_runtime.so“, leidžiančios jam veikti kiekvienos programos kontekste. Tai veiksmingai kenkia „Android“ smėlio dėžės modeliui ir suteikia slaptą prieigą prie visų įrenginio duomenų.
Dėl gebėjimo apeiti standartinius leidimų valdiklius kenkėjiška programa paverčiama visaverte užkulisių sistema su neribotomis sistemos lygmens teisėmis. Įgyvendinimo sudėtingumas rodo pažangią „Android“ architektūros, programų gyvavimo ciklo valdymo ir pagrindinių saugumo mechanizmų patirtį.
„Keenadu“ išsiskiria kaip didelio masto ir labai sudėtinga kenkėjiškų programų platforma, galinti užtikrinti nuolatinę ir pritaikomą pažeistų įrenginių kontrolę. Nors šiuo metu ji daugiausia naudojama reklamos sukčiavimui, jos architektūrinis gylis rodo realią riziką, kad ji gali būti pavogta kredencialais ir vykdyti platesnio masto kibernetines nusikalstamas operacijas.
